Hvad er Datatilsynets vigtigste opgave, når det gælder sikkerhedshuller: at lukke dem eller at efterforske dem?
Det spørgsmål er blevet relevant, efter at online-terapiportalen GoMentor blev afsløret i at have en alvorlig sikkerhedsbrist, der rodede flere brugeres dybt personlige data sammen.
Det var brugeren Ann Pettersson, der i august opdagede sikkerhedshullet og anmeldte det til Datatilsynet.
Datatilsynet valgte at holde tæt med oplysningen om hullet, så de kunne fokusere på at sikre beviser til brug i en eventuel sag mod GoMentor.
Derfor havde Ann Pettersson adgang til at læse intime beskrivelser af fire andre brugeres mentale helbred helt frem til fredag den 23. november, hvor GoMentor lukkede hullet - ikke efter påbud fra Datatilsynet, men efter et opkald fra en journalist.
Datatilsynet forklarede beslutningen med, at det ville »spolere efterforskningen«, hvis tilsynet fortalte GoMentor, at der var et stort sikkerhedsbrud på deres hjemmeside.
Men den køber it-ordfører Karin Gaardsted fra Socialdemokratiet ikke. Hun er rystet over, at Datatilsynet bevidst har ladet sikkerhedshullet stå åbent i tre måneder.
»Der er kun én ting, der er vigtig, og det er at få det her hul lukket så hurtigt som overhovedet muligt,« siger hun til Version2.
Dage, ikke uger
Karin Gaardsted vil nu spørge justitsminister Søren Pape Poulsen (K), om det er normalt, at Datatilsynet håndterer sager på samme måde, som de har gjort i GoMentor-sagen.
»Jeg vil spørge, om det er med ministerens viden, at Datatilsynet vælger at lade en fejl bestå, som betyder, at folks dybt personlige oplysninger ligger tilgængelige for andre,« siger hun.
Version2 påpeger, at det sandsynligvis kun er fem mennesker, der har haft adgang til hinandens data, og at det nok er endnu færre, der har kendt til sikkerhedshullet - så hvor alvorligt kan det være?
Men den præmis afviser Karin Gaardsted. For hvis man ser småt på det her, vil man også se småt på det næste, pointerer hun.
»Vi bliver nødt til at sætte foden ned, når det handler om folks nærmest intime, personlige oplysninger, så vi er helt sikre på, at vi fra myndighedernes side gør alt, hvad vi kan, for at sikre, at det her ikke sker - og hvis vi opdager det, så bliver der grebet ind med det samme,« siger hun og understreger, at det ikke kan passe, at Datatilsynet skal bruge tre måneder på at indsamle beviser i den her sag.
Men hvor lang tid bør Datatilsynet egentlig få til at indsamle beviser? Det er svært at svare på, siger Karin Gaardsted, men:
»Det handler om dage, ikke uger,« siger hun.
Flere af vores læsere påpeger, at Datatilsynet måske ikke har nok ressourcer til at udføre deres opgaver - særligt efter GDPR. Hvad siger du til det?
»Det kan også sagtens være. Netop GDPR og mange opstramninger kan betyde, at der kan være behov for mere personale i Datatilsynet,« siger hun og tilføjer:
»Men det betyder ikke, at Datatilsynet bare kan lade ting sejle, som de har gjort i den her sammenhæng.«
Ja, lad os endelig højlydt forlange brønden kastet til, efter barnet er druknet. Og så snakker vi ikke mere om det, vel? Det er ca. lige så fremsynet, som at give opholdsforbud til hjemløse ... man skal ikke selv til foret, og det ser straks godt ud (og så ignorer vi lige, at det ikke gør noget som helst godt for det bagvedliggende problem).
Jeg ved ikke, hvordan I forstår det, men jeg hører "lad nu være at pege fingre af mig, mens jeg har travlt med pege fingre af andre". Det er da også uartigt at skifte emene på den måde...
Ordføreren og hendes parti mister ikke min stemme på det her; den er forlængst vandret et andet sted hen. Men det bekræfter mig i, at det er var en god og nødvendig beslutning.
Det er tankevækkende at Digitaliseringsstyrelsen åbenbart kun ser deres virke som en der skal indsamle data til at straffe med.
De bør være lige så interesseret i at få hullerne lukket så hurtigt som muligt, som de borgere som de er sat i verden til at beskytte, er.
Jeg kan supplere med, at Karin Gaardsted står uudsletteligt mejslet i min erindring som den politiker, som ved John Foleys datasikkerhedshøring for et par år siden på Christiansborg, med hånlig stemme, afviste privatlivsbekymrede spørgsmål med guldkornene "I kan ligeså godt glemme alt det der med privatliv, det er for sent" - sådan nogenlunde, efter hukommelsen. Faktisk nok i virkeligheden lidt værre, men jeg kan ikke huske den præcise formulering - bare, at privatlivsbekymrede ikke skulle vente megen hjælp fra den kant, for politikerne havde allerede store planer med udnyttelsen dette (forskning, terrorsikring etc.). Det var i hvert fald meningen med det, hun sagde. Og det var i en sammenhæng, hvor det var tydeligt, at hun græd tørre tårer, og syntes, at bekymringen var noget pjat - for der er jo penge og mange muligheder i skidtet. Og adspurgt om, hvor hun som politiker og it-ordfører hentede sin viden om området, var svaret "Fra lobbyister".
Det er selvfølgelig min erindring om hendes holdning på det punkt, og selv om der vist ikke findes optagelser og referater, så var det stort set de udtalelser, der gjorde allermest indtryk på mig, så jeg tror ikke, jeg husker forkert.
Så ja, Bjarne Nielsen, hendes forargelse virker lidt hyklerisk, og ja, hun dukker sig for spørgsmålet, selv om jeg personligt deler vreden mod Datatilsynet i denne sag. Men man må jo så glæde sig, hvis hun faktisk er kommet på bedre tanker - helt ind i sjælen. Med mindre hun faktisk igen går lobyyisters ærinde, sådan som nogen opfatter kritikken af Datatilsynet i denne sag.
Hvad har Socialdemokratiet stemt ved de eneste mange års afstemninger om love, der berørte privatlivet og dets beskyttelse og Datatilsynets midler? Måske kan Karin Gaardsted huske det?
Det "at få hullerne lukket så hurtigt som muligt" er brandslukning, og derfor af natur kortsigtet og snævertsynet.
Og det er "så hurtigt som muligt", som jeg uenig i. Hullerne skal lukkes, men det skal være grundigt. Og i virkeligheden skal vi arbejde for at hullerne slet ikke kan opstå (security-by-design).
Hvis man skal arbejde "så hurtigt som muligt", så ender det nemt i en værre omgang "wack-a-mole".
Men det her er i virkeligheden ikke kun sort/hvidt, og hvis vi generaliserer ud fra et enkelt tilfælde, som vi ikke ved specielt meget lidt om, så er vi ikke et hak bedre end de politikere, som vi elsker at kritiserer for at løbe med en uinformeret og små-populistisk halv vind.
Bjarne Nielsen:
Vi tager jo udgangspunkt i de artikler, der har været i sagen, og af dem fremstår det som om, Datatilsynet har været mere optagede af at sikre en god sag end at lukke hullet af hensyn til brugerne. Det er jo det, de - som jeg har forstået det - selv har udtalt.
Selvfølgelig er der nok meget, vi ikke ved - men hvis vi skal dømme efter det, de faktisk har udtalt om sagen, så er det sådan, det ser ud - en ret enkel login-fadæse, som man vælger at lade stå åben af hensyn til en muligvis større sag. Jeg mener stadig ikke, det er i orden - med mindre man faktisk ikke har kunnet lukke hullet.
Har du et bud på, hvordan vi kan skelne mellem ressourcemangel, som man måske ikke tør tale højt om, og fuldstændig nødvendig, langsommelig efterforskning? For det er jo det, der måske er vores fælles ærinde i denne sag: At Datatilsynet skal sikres ordentlige ressourcer til at følge op på sager uden forsinkelse - og de ressourcer får man aldrig, hvis man uden hold i virkeligheden dækker ressourcemangel ind under dækhistorier om nødvendig langvarig efterforskning. Vi har hørt andre for samfundet vigtige styrelser svigte ved at dække over ressourcemangel, med alvorlige konsekvenser, fordi det ikke er politisk bekvemt at snakke om den slags, og det kan koste jobbet. Så hvordan skelner vi, hvad der er hvad?
Nej, og derfor tror jeg også at man skal passe på med at være alt for skråsikker i sin kritik.
Og du skrev tidligere:
Der er i hvertfald et stort sammenfald med den holdning, som Dansk IT tidligere gav udtryk for (link). Det kan være et tilfælde.
Der har været dækning fra Datatilsynet, hvor det har været tilkendegivet, at man godt kunne have ønsket sig at bevissikringen, der skete via politiet, kunne være gået hurtigere. Det læser jeg som den beklagelse, som Karin her efterlyser, og jeg tænker sådan set ikke hun kommer det nærmere ved at henvende sig til justitsministeren herom.
Det der imidlertid (også) er ret skræmmende er, at vi har en it-ordfører, der tilsyneladende (jf. Anne-Maries indlæg) er fuldt ud på bølgelængde med Mark Zuckerberg. Videre har hun heller ikke har sat sig så meget ind i sit ansvarsområde, at hun ikke forstår, at Datatilsynet er en uafhængig myndighed - dvs. Pape hverken kan/skal blande sig i tilsynets håndtering af konkrete sager.
Men ok, ingen er forpligtet over evne, og modsat mange andre hverv, kræver det jo ingen kvalifikationer at være MF'er endsige ordfører for selv de største partier i landet.
Aktiv modvirken af databrud, kan vel også siges at lappe ind over CFxx-enheder, som modtager mia. i støtte. I hvert fald i andre lande, hvor man ikke har gemt denne enhed bag FET's mørkegardiner.
Som andre i tråden er jeg ikke meget for at kritisere den eneste enhed, som kerer sig om vort privatliv. Selvom jeg mener at det var en forkert beslutning, ikke at søge at få lukket hullet med det samme.
Ja, det er en svær balancegang, Bjarne Nielsen. Men hvis ingen forarges over sådanne histroier, kan man efter min mening være sikker på, at der går meget lang tid, inden skeletterne (=katastofal ressourcemangel) vælter ud af skabet. Ingen af de ansvarlige politikere sætter frivilligt flere ressourcer af til datatilsynet, så hvis hverken de selv eller vi andre råber op, npr noget ser mærkeligt ud, så tror jeg ikke på, at det blvier bedre.
Men er du ikke enig i, at man med rimelighed - det enorme antalt anmeldelser taget i betragtning - må mistænke, at tilsynet ligger underdrejet, og derfor kommer til at forsømme/fejlvurdere nogle sager?
Man kan vel sige, at der er to mulige problemstillinger:
1) at tilsynet måske ligger underdrejet pga. ressourcemangel, men ikke tør sige dette højt, og derfor dækker sig ind under nødvendig efterforskning.
2) at tilsynet simpelthen har den holdning, at beskyttelsen af de enkelte borgere må vige for muligheden for at føre sagerne ved domstolene.
Ad 1: Måske menneskeligt forståeligt, men man svigter borgerne generelt.
Ad 2: Måske menneskeligt forståeligt, men man svigter de berørte borgere.
Jeg synes afgjort, at det er en diskussion værd, og jeg vil fastholde det synspunkt, at man ikke kan smide enkelte borgeres privatliv under bussen af hensyn til ønsket om større sager. Hvordan ville vi selv have det med at få at vide, at vores privatliv havde ligget åbent i månedsvis, hvor både lyssky personer og evt. efterforskere har trampet rundt i det for - med hver sine motiver? Jeg ville blive rasende, og at det måske i denne konrete situation falder sammen med en brancehes økonomikse interesser, det gør ikke, at jeg går branchens ærinde - det ville jo være mit eget ærinde, da det ville være mit privatliv.
Men hvis branchen kan tilslutte sig en krav om, at der skal tilføres mange flere ressourcer til Datatilsynet, så det for alvor kan løse sin opgave, og ingen fupfirmaer kan gemme sig i mængden af overtrædelser - ja, så vil det da være velkomment. Men der skal vi selvfølgelig holde fast i, at det er det, der er målet - ikke at stække tilsynet, men tvært imod.
I øvrigt ville det da være fint, hvis en hurtig indsats fra tilsynets side faktisk kunne få GoMentor til at rette op på skuden for alvor. Er det ikke det, der er meningen med det hele? Uden at det skal fritage dem for retsforfølgelse og kæmpebøde i det omfang både denne og andre fejl kan dokumenteres. Men baseret på alle historierne om, hvor svært det er at sikre den slags systemer, så må man vel forvente, at der vil være rig lejlighed til at efterforske huller i et godt stykke tid efter, at dette hul var lukket? Det vil vel tage lang tid for dem at sikre systemet ordentligt?
Og så er der aldrig kommet et svar fra tilsynet på, om de ikke mere mener deres vejledning ang. anmeldelser, hvor de jo anbefaler, at man selv kontakter virksomheden først. Alle de sager, hvor folk følger det råd, vil jo så være lukket land for efterforskning. Så uddybning/forklaring fra tilsynet ønskes. Hvad skal jeg gøre, de 5 gange om dagen, hvor jeg mistænker at støde på manglende overholdelse af GDPR. Ganske vist anmelder jeg det stort set aldrig - netop fordi fornemmelsen er, at tilsynet i forvejen er ved at knække - men når jeg en dag støder på et hul, som jeg føler mig nødsaget til at anmelde - hvad ønsker man så, at jeg faktisk skal gøre? For jeg vil jo nødigt ødelægge efterforskningen.
Nej, det er også med blødende hjerte, Gert Madsen. Men som ved andre offentlige instanser så synes jeg ikke, at det hjælper at sætte kikkerten for det blinde øje, hvis tilsynet dækker over ressourcemangel. Vi har brug for et tilsyn, der i lighed med det norske Datatilsyn har mod til at markere sig og holde fast i principperne. Måske er kritikken lige nu uretfærdig - men sagen ser mærkelig ud, og så må vi som borgere bede om at få at vide, hvad der er op og ned i den. Hvis tilsynet så viser sig at have gjort sit bedste under svære omstændigheder, så kan vi jo glæde os over det.
Men det er altså en meget principiel diskussion, om enkelte borgeres privatliv kan inddrages til prøveklude for samfundets sager - uden hensyn til de enkeltes rettigheder. For mig lyder det argument lidt, som når forskere mener at kunne stjæle privatlivet, fordi det sker i forskningens tjeneste. Privatlivsovergreb går ud over enkeltpersoner - det er ikke samfundet, det gør ondt på, men enkeltpersoner, og det er primært den, der har ret til beskyttelse af deres menneskerettigheder.
Datatilsynet er nødt til at lære, at de ikke har den fornødne erfaring eller viden i at indsamle beviser. Indsamling af beviser påhviler kun uddannet personale og det er pr. definition politiet - End of storie
Bare lige en hurtig kommentar på det felt:
Denne sag er videregivet til politiet, jeg som anmelder af sagen til Datatilsynet ved ikke hvornår dette er sket, hvorefter jeg og andre på sidelinien vel i virkeligheden ikke kan vide om sagen har trukket unødvendigt længere ud hos datatilsynet eller hos politiet...
(eller begge steder naturligvis).
Du husker rigtigt Anne-Marie Krogsbøll. Problemet er fortsat, at politikerne ikke i nødvendigt omfang har den fornødne indsigt og kompetencer til at forstå udfordringerne og har ikke orket at etablere et forum, hvor de kan få den nødvendige indsigt og støtte. René Gade, og flere med ham, har i flere omgange forgæves forsøgt at få It- ordførerne til at samles i et It-udvalg, hvor problemerne kunne bearbejdes og få politisk fokus, men desværre uden held. I stedet for henholder Karin Gaardsted sig til viden hentet fra lobbyister. Nu prøver hun så at vinde stemmer ved sit forsøg på at vise handlekraft med sine bastante udmeldinger. Karin Gaardsted udtaler, at hun nu vil gå til ministeren. Ja, ja - og hvad så? Ja, det er en gratis omgang fra hendes side.
Ja det er yderst kritisabelt at GoMentor har haft en sikkerhedsbrist som udstillede følsomme borgeres yderst følsomme data.
Men ingen steder i div artikler eller (hvis jeg husker korrekt) i div blog indlæg, tages der højde for at:
1) Sikkerhedsbristen med meget høj sandsynlig ikke er sket med GoMentors kendskab (før de blev indformeret)
2) Var de blevet indformeret tidligere havde de taget hånd om den tidligere.
3) Vi kan alle komme i samme situation, uanset hvor meget vi prøver at beskytte os.
4) Vi kan IKKE agere før vi kender til problemet.
Vi står nu i en situation hvor Datatilsynet har lavet en seriøs fejlvurdering, som, til trods for at Datatilsynet p.t. får kritik for den fejlvurdering, i sidste ende kan betyde at det er GoMentor som ender med uforholdsmæssige seriøse problemer fordi tilliden er betydeligt svækket. Og når jeg skriver uforholdsmæssige problemer er det et spørgsmål om at de aldrig fik chancen for i tide at handle og minimere skaden.
Det er efter min mening et lige så betænkeligt signal at sende overfor virksomheder.
Tak, John Foley (nogle enkelte små grå har jeg åbenbart tilbage :-) )
Lillian Schelde:
Der er så lige Go Mentors ret afslappede reaktion, da Ann Pettersson henvender sig med fejlen, så helt uskyldige er de ikke.
Anne-Marie Krogsbøll
Jeg påstår på ingen måde at de er uskyldige.
Jeg ville bare nødigt sidde i en situation hvor Datatilsynet henvender sig til min virksomhed og siger:
I har et alvorligt sikkerhedsbrist. Det har I haft i 3 måneder som vi har kendskab til. Straffen for at sikkerhedsbristen har eksisteret i så lang tid og har medført at xx antal personer har fået kompromitteret deres data er ekstra stor fordi I ikke har ageret i tide.
:-(
Nej, det forstår jeg, Lillan Schelde . Men lige præcist GoMentor kan jeg ikke få så ondt af i denne sag.
Du har ikke fulgt med (som andre også påpeger).
GoMentor support blev kontaktet af brugeren/kunden. GoMentor valgte så at bagatellisere - og åbenbart - ignorere henvendelsen.
Det er utilgiveligt, når man vil lave en forretning på at håndtere stærkt følsomme personoplysninger.
Dette handler om de brugere/klienter, hvis data er blevet blotlagt.
GoMentor var blevet advaret om datalækket og viste sig uværdig til ansvaret. Et signal om at dette ikke accepteres, er helt på sin plads.
Datatilsynets ageren er irrelevant i den sammenhæng.
Det er så blot en visualisering af, at vi skal vide (ikke tro) hvad vi taler om, når vi debattere hvad vi tror er virkeligheden.
Vi må have Trine Bramsen tilbage!
Hun har både erfaring som IT-ordfører, og er nu rets-ordfører og menneskerets-ordfører for Socialdemokratiet.
Med al den viden og indsigt bør hun kunne rydde op i dette her.
(ironi kan forekomme)